【技术实现步骤摘要】
处理信息安全事件以检测网络攻击的系统和方法
[0001]本专利技术涉及信息安全领域,并且更具体地,涉及处理信息安全事件以检测网络攻击的方法。
技术介绍
[0002]当前,除了传统的恶意软件(例如病毒、因特网蠕虫、键盘记录器、加密器等),计算机攻击(也称为网络攻击)也已经变得普遍。例如,此类攻击可能包括针对信息系统的定向攻击(也称为目标攻击(targeted attack)或TA)和复杂攻击(高级持续性威胁(advanced persistent threat)或APT)。信息系统包括计算设备和用于将它们链接在一起的通信的总体。信息系统也称为公司基础设施。网络罪犯可能有各种各样的目的,从简单地盗窃个人数据到工业间谍活动。网络罪犯通常具有关于公司网络的架构、内部文档流的原则、用于保护网络和计算机设备的手段的信息,或信息系统特有的且通常被隐藏的任何其它信息。有了这些信息,网络罪犯就可以绕过现有的防御手段,而这些防御手段通常在其设置方面没有灵活性而无法满足信息系统的所有需求。
[0003]用于防御恶意软件和计算机威胁的现有技术(例如签名分析、启发式分析、仿真等)具有许多缺陷。这些缺陷通常会阻止此类防御技术提供适当级别的针对定向攻击和其它计算机攻击的保护。例如,常规的恶意软件防御平台无法检测和调查先前未知的威胁、计算机攻击,诸如复杂攻击(使用技术来绕过防御平台)以及长时间(从几天到几年)攻击,这些攻击的指标在攻击开始很长时间后才变得已知。
[0004]因此,除了常规的防病毒解决方案以及入侵检测和预防系统之外,通 ...
【技术保护点】
【技术特征摘要】
1.一种用于处理信息安全事件以检测计算机系统上的网络攻击的方法,所述方法包括:接收与在所述计算机系统中发生的多个信息安全事件有关的信息,其中,所述多个信息安全事件中的每一者包括与所述计算机系统的信息安全的可能违反有关的事件;确定针对接收到的所述多个信息安全事件中的每一者的判决,其中,所述判决包括:i)信息安全事故或ii)误报,并且,如果相应信息安全事件的误报概率大于第一阈值,则所述判决为误报;将针对所述多个信息安全事件的子集的判决从所述误报更改为所述信息安全事故,其中,所述子集中的信息安全事件的数量低于第二阈值;以及对判决为信息安全事故的信息安全事件进行分析,以确定所述计算机系统是否受到网络攻击。2.根据权利要求1所述的方法,其中,接收与所述多个信息安全事件有关的信息还包括接收与所述计算机系统的对象有关的一个或多个事件安全通知,并且,所述一个或多个事件安全通知包括表征在所述计算机系统中发生的事件的标记和指示收集关于所述事件的相应信息所用的时间间隔的时间戳,并且所述第一阈值与经训练的机器学习模型的质量度量有关。3.根据权利要求2所述的方法,其中,使用所述经训练的机器学习模型基于以下项中的至少一者来确定所述判决:所述一个或多个事件安全通知的特征、所述一个或多个事件安全通知的一个或多个来源、所述一个或多个事件安全通知的所述一个或多个来源的特征。4.根据权利要求1所述的方法,其中,对所述信息安全事件进行分析还包括:对具有最低误报概率的信息安全事件进行分析。5.根据权利要求1所述的方法,其中,所述判决包括以下项之一:模糊判决、暂定判决、最终判决。6.根据权利要求2所述的方法,其中,表征在所述计算机系统中发生的事件的所述标记包括以下项中的至少一者:所述对象的至少一部分的校验和、嵌入在所述计算机系统上的所述对象的资源的来源、所述对象的执行的仿真结果、从所述对象调用系统函数的日志、所述对象在所述计算机系统上的出现时间、所述对象通过计算机网络正在传输的数据。7.根据权利要求1所述的方法,其中,确定所述判决还包括:计算针对相应对象的哈希,以及确定所计算的哈希是否对应于已知恶意对象。8.根据权利要求3所述的方法,还包括基于对第一组信息安全事件进行分析的结果来确定所述第二阈值。9.根据权利要求8所述的方法,还包括基于对所述第一组信息安全事件进行分析的结果来修改所述经训练的机器学习模型的训练样本。10.一种用于处理信息安全事件以检测计算机系统上的网络攻击的系统,所述系统包括:硬件处理器,所述硬件处理器配置为:接收与在所述计算机系统中发生的多个信息安全事件有关的信息,其中,所述多个信息安全事件中的每一者包括与所述计算机系统的信息安全的可能违反有关的事件;确定针对接收到的所述多个信息安全事件中的每一者的判决,其中,所述判决包括:i)
信息安全事故或ii)误报,并且,如果相应信息安全事件的误报概率大于第一阈值,则所述判决为误报;将针对所述多个信息安全事件的子集的判决从所述误报更改为所述信息安全事故,其中,所述子集中的信息安全事件的数量低于第二阈值;以及对判决为信息安全事故的信息安全事件进行分析,以确定所述计算机系统是否受到网络攻击。1...
【专利技术属性】
技术研发人员:帕维尔,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。